De monsterlijke trekjes van beveiligingsproblemen

Business Continuity Management

steeds hoger op agenda

Hoe gaan we om met ambient

intelligence en convergerende

technologie?

‘Artikel van het jaar 2008’ -

En de winnaar is…

The impact of Cloud

Computing on Identity

INF

ORMA

TIEBEVEILIGING

mei 2009 nummer 3

Op weg naar convergentie van

IT- en fysieke beveiliging

IB-A

WA

RD

200

8

23

Informatiebeveiliging mei 2009 • • • • • • Pangolins en tweelingen

Bron: estherase via Flickr

Gevaarlijk, niet echt verwant aan iets wat we kennen, of toch weer wel, en bij voorkeur groen. Bij een monster denken we doorgaans aan Frankensteinachtige fi guren in fi lms. Monsters lijken daarbij vooral gekarakteriseerd te worden door hun wereldvreemdheid en verwoestende gedrag. Die wereldvreemdheid gaat echter niet zo ver dat we niets herkennen in de monsters. Hoe eng ze ook zijn, ze hebben toch vaak iets menselijks, en, zoals in het geval van Frankenstein, iets dat daar lijnrecht tegenover staat: iets machinaals. Ze passen, met andere woorden, niet in ons hokjesdenken.

Al sinds mensenheugenis worden zaken die niet in de bekende hokjes passen afgeschilderd als monsterlijk. De combinatie van eigenschappen die doorgaans niet samen voorkomen, leidt al snel tot een afschuw van of juist fascinatie voor het onbekende. Zo werd de pangolin (geschubde miereneter) door het Lele-volk als heilig beschouwd, omdat deze schubben heeft als een vis, in bomen klimt en de jongen zoogt. Andere stammen beschouwen tweelingen op hun beurt als verschrikkingen, omdat ze dierlijke aspecten – het krijgen van

meerdere nakomelingen – combineren met menselijke.

Plastic en gentech

Ook in de moderne maatschappij vinden we monsters. In haar boeken Purity and

danger en Risk and culture toont antropologe

Mary Douglas dat de vaak als primitief beschouwde hokjesgeest in de moderne maatschappij alles behalve verdwenen is. Veelal hebben we de neiging te denken dat de moderne wetenschap volgens volstrekt andere principes werkt en dat de primitieve indeling van de wereld en de daarbij behorende ambiguïteiten verleden tijd zijn. Ook de wetenschap denkt echter in hokjes. Wanneer we gewend zijn aan categorieën als ruimte en tijd, vergt het een Einstein om een theorie te ontwikkelen die de relativiteit van beide als basis heeft. Ook wij hebben onze indelingen – en we hebben moeite met dingen die daar niet in passen.

De Nederlandse techniekfi losofe Martijntje Smits liet zien dat dit idee ook toe te passen is op controverses over nieuwe technologie. Technologie is bij uitstek een middel om dingen te creëren die niet binnen de bestaande kaders passen. Reacties van fascinatie en afschuw vonden we bij bijvoorbeeld de uitvinding van plastics. Deze materialen leken in niets op de bekende natuurlijke producten en konden bovendien rekenen op de aandacht van zowel sciencefi ctionfans als doemdenkers.

Meer recent was (en is) genetische manipulatie onderwerp van controverse. Ook hier staat weer het natuurlijke tegenover het kunstmatige. In hoeverre zijn die twee

aspecten te verenigen? Mag je sleutelen aan iets dat natuurlijk is? En waar liggen dan de grenzen van de hokjes?

Ook in de IT kunnen monsters gefabriceerd worden. De stemcomputer heeft het niet gered, omdat de combinatie van de openheid van democratie en het black-box karakter van technologie toch wel erg problematisch leek te zijn. De vereiste transparantie van het verkiezingsproces kon schijnbaar niet waargemaakt worden door technologische ontwerpen die slechts door een enkeling te begrijpen waren. Los van de precieze argumenten voor of tegen was het dit monsterlijke karakter dat aan de basis lag (en ligt) van de discussie.

Sub-monsters

Dit soort effecten doet zich echter niet alleen voor op het niveau van een samenleving als geheel. Ook subculturen - wetenschappelijke disciplines, bedrijven, et cetera - kennen hun eigen categorieën, hun eigen hokjes en de daarbij behorende monsters. We moeten nu eenmaal ook binnen onze specialismen onderscheid maken tussen verschillende dingen - ze in een hokje kunnen plaatsen - om überhaupt iets te kunnen herkennen. Een specialist die niet geleerd heeft welke verschillende aandoeningen er zijn, zal ze op een röntgenfoto ook niet kunnen onderscheiden. Net zo goed als Chinezen het onderscheid tussen de L en de R niet horen.

Wat betekent dit voor de discipline van de informatiebeveiliging? Belangrijke beveiligingslekken doen zich vaak voor als iets over het hoofd is gezien. Denk je dat je alles dichtgetimmerd hebt, komt uit compleet onverwachte hoek toch nog een hacker binnen. Juist omdat deze manier niet in de bestaande hokjes paste. En dus niet in het handboek stond. Beveiligingslekken zijn in die zin monsters: fenomenen die onze categorieën uitdagen.

De monsterlijke trekjes van

beveiligingsproblemen

Auteur: dr. ir. Wolter Pieters > Wolter Pieters is op 21 januari 2008 gepromoveerd aan de Radboud Universiteit Nijmegen op een proefschrift over de stemcomputercontroverse.

Geen grote rode knop meer op verkiezingsdag. De stemcomputers zijn afge-schaft; ze bleken niet betrouwbaar genoeg. Hoe komt het dat dit niet eerder is ontdekt? Het zit ’m in de monsterlijke trekjes van beveiligingsproblemen. Net als monsters in films tarten ze onze hokjes door te lijken op dingen die we kennen, maar toch ook weer niet. Monsterbezwering kan helpen om beveiligings-lekken eerder te identificeren.

D

ar

ti

_k

e

l

IB-A

WAR

_D

2008

24

De m

o

n

sterlijk

e tr

ekjes van beveili

gin

gspr

oblem

en

verleden de werkelijkheid niet op de juiste wijze onder ogen is gezien, zoals bij de stemcomputers. Eerst bestond er vertrouwen in de apparaten op basis van een vertekend beeld van veiligheid, maar nu weten we hoe het werkelijk zit. Een bepaalde manier van naar de wereld kijken, wordt daarbij als de juiste gezien, namelijk degene die overeenkomt met de werkelijkheid.

Deze manier van denken bestond al bij de oude Grieken. Plato schreef een allegorie waarin mensen vastgebonden in een

grot zitten en slechts de schaduwen kunnen zien van voorwerpen die door een vuur verlicht worden. Alleen de fi losoof (die tegenwoordig allerlei gedaanten als wetenschapper kan aannemen) kan de grot verlaten en zien wat zich werkelijk afspeelt. Het onderscheid tussen werkelijkheid en beelden daarvan wordt door

wetenschapsonderzoekers als Bruno Latour gezien als een belangrijk kenmerk van het moderne westerse denken.

Foto: Jerzy Kociatkiewicz

De monster-theorie draait deze analyse om. Waargenomen veiligheid staat niet tegenover werkelijke veiligheid, maar tegenover niet-waargenomen veiligheid. We kunnen niet spreken van een werkelijkheid buiten onze waarneming; zelfs als deze zou hebben bestaan, hebben we er geen toegang toe. Immanuel Kant stelde dit in de achttiende eeuw al vast. Het gaat juist om wat we wel kunnen waarnemen.l

En, zoals we inmiddels ook weten, wat we kunnen waarnemen, wordt bepaald door onze hokjes. Dingen die daar niet in passen, ervaren we als monsters.

Dit betekent uiteraard niet dat we elke poging om iets zinnigs over onze omgeving te zeggen moeten opgeven, omdat toch

iedereen zijn eigen waarheid heeft. Wel gaan we niet langer uit van één speciale visie op de wereld (‘actual security’) die anders is dan alle andere (‘perceived security’). En door te erkennen dat het allemaal om waarneming gaat, kunnen we ook beter reageren op veranderingen daarin.

Monsterbezwering

Volgens Smits zijn er verschillende manieren om monsters het hoofd te bieden. Deze zien we ook allemaal terug in casussen uit de informatiebeveiliging.

Zo kunnen we monsters als iets buitengewoons beschouwen en daardoor een plaats geven als iets heiligs. In de informatiebeveiliging ontaardt deze strategie van omarming echter al g

snel in ‘it’s not a bug, it’s a feature’. Stemcomputerfabrikant Nedap schreef in relatie tot de manipulatie van het apparaat door de actiegroep dat dit bewees dat de stemcomputer precies deed wat hem was opgedragen.

Ook kunnen we het monster uitdrijven. Het probleem wordt dan de kop ingedrukt door het weg te stoppen: een nieuwe technologie naar de prullenbak verwijzen of een beveiligingsprobleem ontkennen. Zolang de media niet al te hard op het lek duiken, heb je misschien een kans om er mee weg te komen zonder dat je systeem ook in de praktijk wordt gekraakt.

Ook bij de virussen in Word-bestanden werd aan monsterbezwering gedaan. De strategie die hier gevolgd werd, was het hercategori-seren van Word-bestanden als

programma-IB-A

WAR

_D

he

e a

rt

ik

e

l

2008

informatiebeveiliging was het optreden van

innfonfonform

virussen in documenten. Oorspronkelijk had

vi

het concept ‘virus’ vooral betrekking op uitvoerbare bestanden (programma’s). Deze werden dan ook door virusscanners onder de loep genomen. Het feit dat binnen Microsoft Word-documenten kleine stukjes programma aanwezig konden zijn (macro’s) liet het toe dat de hokjes van programma en data niet langer adequaat waren. Het eerste virus in Word-bestanden werd dan ook als iets radicaal nieuws ervaren: een monster.

bron “Go away, you virus!” robleto via Flickr

Een ander voorbeeld is het verkrijgen van informatie over de gegevens op een smartcard aan de hand van het stroomgebruik of de tijdsduur van berekeningen, de zogenaamde side-channel attacks. Zo kan bijvoorbeeld de geheime sleutel worden verkregen waarmee berichten beveiligd worden. Wanneer je denkt in hokjes van hardware en software, dan zie je dit probleem helemaal niet. Het is immers noch een hardware noch een software-kwestie. De aanval zit ’m juist in dat wat de categorieën overstijgt: het afl eiden van informatie over de software aan de hand van de hardware.

Wanneer we informatiebeveiliging vanuit deze antropologische hoek bekijken, zien we vooral een dynamisch spel van hokjes. Meer nog dan bijvoorbeeld social engineering vormt dit een essentieel onderdeel van de menselijke kant van informatiebeveiliging.

Perceptie en werkelijkheid

De meeste deelnemers aan discussies over informatiebeveiliging zijn echter geen antropologen. Veelal worden beveiligingsproblemen gekarakteriseerd in termen van werkelijke veiligheid en perceptie van veiligheid (‘actual and perceived security’). Als er iets misgaat, wordt dat verklaard doordat in het

IB 3 2009.indd 24

25

Informatiebeveiliging mei 2009 • • • • • •

bestanden. Ze pasten niet langer in de cate-gorie data, dus stopten we ze in een ander hokje. Daardoor werden ze nu ook door virusscanners gecontroleerd. Deze strategie heet monsteraanpassing: het herdefi niëren van het monster ten opzichte van de hokjes.

Assimilatie

Al deze strategieën hebben echter iets gemeen: de hokjes, de categorieën, blijven ongewijzigd. Sommige monsters vereisen een meer radicale aanpak. Zoals we al zagen werd het onderscheid hardware-software op de proef gesteld door zogenaamde side-channel attacks op smartcards. Een speciaal onderzoeksgebied was nodig om deze mon-sters het hoofd te bieden. Er ontstonden nieuwe hokjes, waarmee het probleem wel goed te defi niëren was. We hebben de side-channel attacks nu netjes in categorieën ingedeeld en weten nu ook wat we aan maatregelen kunnen nemen om deze aanval-len tegen te gaan. Dit aanpassen van de hokjes noemt Smits monsterassimilatie. Deze laatste strategie biedt de meeste kansen binnen een fi losofi e die uitgaat van waargenomen veiligheid tegenover niet-waargenomen veiligheid in plaats van waargenomen veiligheid tegenover werke-lijke veiligheid. Om veiligheid beter waar te kunnen nemen, moeten we steeds op zoek naar de beste hokjes. Om de monsters vóór te zijn, zouden we ons bij al onze hokjes af moeten vragen of er geen dingen buitenge-sloten worden die uiteindelijk als monsters de beveiliging van onze systemen zouden kunnen bedreigen.

De monsters van de stemcomputer

In het geval van de stemcomputer zijn er in ieder geval twee hokjes die eerder tot problemen hebben geleid. Ten eerste werd controleerbaarheid van de stemcomputer vooral gedefi nieerd als het laten testen van het apparaat door TNO. Controleerbaarheid werd gezien als controleerbaarheid van de

stemcomputer zelf. Door dit “hokjesdenken”

werd over het hoofd gezien dat ook het resultaat van een verkiezing zelf wellicht controleerbaar zou moeten zijn. Juist deze laatste betekenis heeft in de recente discus-sie veel nadruk gekregen.

Een tweede ‘hokje’ werd gevormd door de bescherming van het stemgeheim. In de ‘Regeling voorwaarden en goedkeuring

stem-machines’ werd gesteld dat de stemcomputer de stemmen op zodanig wijze moest opslaan dat een stem niet aan een kiezer gekoppeld zou kunnen worden. In de praktijk kwam dit neer op opslaan op een willekeurige plaats in het geheugen. Bescherming van het stemgeheim werd hierdoor echter impliciet gedefi nieerd in termen van software. De pro-blemen met compromitterende straling en het afl uisteren van de stem waren daardoor niet gedekt door de eisen. Dat is immers vooral een hardware-probleem.

Als we deze verschuivingen van de hokjes beschrijven in termen van perceptie van veiligheid versus werkelijke veiligheid, zien we over het hoofd dat ook onze huidige categorieën per defi nitie dingen uitsluiten. We spreken, zeker als het gaat om risico’s, over een werkelijkheid die we zelf met onze hokjes gemaakt hebben.

Monsters voorkomen?

Wat kan ons vakgebied hiervan leren? Als we als informatiebeveiligers blijven denken in termen van werkelijke veiligheid en waarge-nomen veiligheid, lopen we altijd het risico dat wat we werkelijke veiligheid noemen toch uiteindelijk niet de meest effectieve oplossing blijkt te zijn. Het gaat daarbij niet alleen om wat we zelf wel en niet zien, maar vooral ook om wat onze ‘tegenstanders’ wel en niet zien. Zodra de mogelijkheden om een stemcomputer af te luisteren eenmaal gedemonstreerd zijn, hebben we te maken met een veel hoger risico. Hetzelfde geldt voor het kopiëren van Mifare toegangspas-sen.

Met de Duitse fi losoof Martin Heidegger kunnen we beter spreken van aspecten van veiligheid die verborgen zijn en aspecten van veiligheid die ‘ontborgen’ worden: uit de verborgenheid tevoorschijn worden gehaald. Zodra buffer overfl ows als een belangrijke bron van security-problemen worden ont-borgen, duiken zowel hackers als beveili-gingsexperts massaal op de mogelijkheden hiervan. Zo worden vergelijkbare risico’s veel sneller zichtbaar gemaakt. Aan de andere kant blijven wellicht heel andere kwetsbaar-heden daardoor juist verborgen.

Dit actieve karakter van het defi niëren van wat werkelijk is, is essentieel in een proac-tieve houding ten opzichte van beveiliging. Bij elk aspect van risico dat we vaststellen zouden we dan ook moeten vragen: wat

sluiten we uit? Wat past niet in de hokjes? Als we eisen dat software een bepaalde eigen-schap heeft, dan stellen we dus meteen de vraag: is dit ook relevant voor de hardware? Systematisch op deze manier denken - denken als een antropoloog die een vreemde cultuur bezoekt - is uiteindelijk de enige manier om de bedreigingen voor te blijven. De dynamiek van de hokjes bepaalt immers wie er uiteinde-lijk wint: de beveiliger of de hacker. Uiteraard is de monster-theorie zelf ook weer een indeling in hokjes en sluit deze daarmee zelf ook dingen uit. Maar dat is nu eenmaal de prijs die we betalen om de problemen van de informatiebeveiliging beter waar te nemen.

Samenvatting/conclusie

Het gaat bij informatiebeveiliging niet om perceptie van veiligheid versus werkelijke veiligheid, maar om verschillende groepen mensen die de wereld op verschillende manie-ren in hokjes indelen. Dit lijkt triviaal, maar in de manier waarop er over stemcomputers gesproken wordt, lijkt Plato’s grot nog zeer dominant aanwezig. Het is dus tijd om onze hokjes wat serieuzer te gaan nemen. Ofwel: laten we zorgen dat onze indeling van het informatierijk zo weinig mogelijk pangolins kent. URLs http://www.cs.ru.nl/~wolterp http://www.wijvertrouwenstemcompu-tersniet.nl http://www.election-systems.eu Literatuur

M. Douglas. Purity and Danger: an

Analysis of the Concepts of Pollution and Taboo.

Routledge, London, 1994 [1966]. B. Latour. Politics of nature: how to bring

the sciences into democracy. Harvard

University Press, Cambridge, MA, 2004. W. Pieters and L. Consoli. Vulnerabilities as monsters: the cultural foundations of computer security (extended abstract). In: Proceedings of the European Computing

and Philosophy Conference (E-CAP 2006),

Trondheim, Norway, June 22-24, 2006. M. Smits. Monsterbezwering: de culturele

domesticatie van nieuwe technologie.

Boom, Amsterdam, 2002.

IB-A

WAR

_D

h

2008